小测avast(录象)

爱·妖姬

下载地址:- Z: R) C! V2 z# Q! x1 |/ I
0 {0 B0 U+ X% g& J# _) \
http://www.hackhobby.com/attachments/month_0711/小测avast.rar! a; S6 g7 ~: i- @
* [" Q8 u  b; H! n& \5 Z0 `; }4 E


大家好/ y2 W6 }  R% W* W) C9 T
我是小东￠酷儿（论坛通用ID：cici584522)% Y/ z/ `  N- M$ i+ ]; X  ~8 W
欢迎光临我的BLOG www.hackhobby.com* j( U3 r: w$ k
以及点饭论坛 www.mpfans.org
==================================================
晚上没事干。。装一个 avast! 测试。。在论坛看到此杀软的口碑还不错0 S2 K& q9 V4 C4 w% \1 \# x
最新病毒库 12月3日. Y2 B3 ~3 n3 G$ w+ i
今天实际测验一下引擎能力如何, ^" P& Z" |0 j0 T
先拿个原版灰鸽子来试试- `: ^2 v/ ]0 ?( c" i
我喜欢在无壳下修改木马" O- n& Y6 N  W8 l1 V! ^; J
定位后，想不到 avast! 居然有这么多鸽子的特征
如下：
特征码 物理地址/物理长度
[特征] 0000B398_00000002
[特征] 0009F4CA_00000002
[特征] 000A0B0E_00000003
[特征] 000A1578_00000002- K( p7 b. z  v- Y* _
[特征] 000A7620_000000023 \6 D3 A! W- |$ V  T
[特征] 000B97DE_00000002
[特征] 000B9B82_00000002/ U( G- u6 v! t# d- T( h
[特征] 000725AF_00000002

一共8处 （真有点象X星的特征添油战术，免杀麻烦性加大）
我们来看看这些特征码到底是些什么4 }. m9 d4 k* W4 t. |  G/ f: S
刚才试验的已经删了。现在重新生成一个无壳原始的。。
`现在用C32载入看一下# \5 d8 u8 U; g$ R4 ?( V& C
JNB     SHORT 0040B3AA  这里把jnb 改为jmp 是同样的效果: t! a7 y* }  G" K0 i) i  Y/ t; j
第2项。。呵呵。。这是些中文字符特征。。直接删掉都没关系
uninstal.bat 这是鸽子卸载后留下的一个残留。。。我这里把后缀改一下就OK
Hacker.com.cn_MUTEX 这是鸽子里特有的一段字符。很多杀软都有此处特征。。/ x. Y( X. L' s) |

直接删掉就OK了0 n' z1 D9 y9 @$ Q! c
这里没具体研究。。不过把0改1就OK4 O& i9 K  X- a8 F5 m' c  C& K+ o
完成。。查杀下; O( j; j' j) E; y# d
直接跳过。。。打开 监视再运行

再试试 小A的查壳 用现在最流行的强壳 ASProtect SKE 2.3 Beta
依然报鸽子。。。加上这个已经过了费尔' F3 L. W0 d! s2 y6 z6 N/ W
再来改改壳，依然能查出来

W7 N; R5 @" K2 r( D  m; [
所以我最后给小A的总结如下
有X星的特征码海量添油战术（我自己取的名字。。呵呵）9 H6 x2 N! V* W2 y9 k; Z+ v
有部分金山的数据流技术" j- K% N- o$ j, d$ W
有卡巴6的查壳技术（卡7的扫描还比不了）7 p, [$ Z. X) q: F9 h


综合评价。。。是一款比较不错的杀软
查杀能力比较强。。。但在引擎方面。。比红伞略逊
y0 G' S/ K* S0 n" T% ~% {
                                                                                     : b( I: s6 R+ l0 Q. w( {
8 P( u7 P- _- i
                                                                                  07年12月3日

gogo8989

不错，看完录像后，还是觉的杀软必须要有HIPS，否则只要改一下特征码就过了扫描，
小A如果病毒库在大点就更好了，
好像小A是靠报壳的，所以加壳没有用。不知对不对。

PS：发现这位强人用的可能是联想冰封，给俺的测病毒时用的一样

[ 本帖最后由 gogo8989 于 2007-12-4 01:41 编辑 ]

mofunzone

就不看video了，但是红伞在鸽子基因上还有明显的缺陷，哎。。

欠妳緈諨

avast!的鸽子特征码不少，最新的鸽子变种编号是Win32:Hupigon-FNX [Trj],脱壳能力也算不错，但据我所知，它的鸽子特征码里有直接报壳的

PlayWill

下录像看看

fsr717af

呼呼  还是很实际的评测

hajing520

这么说选对小A是选对了

keyman1023

同意lz，不过没卡巴用得踏实！！

whl2012

晕～～～真害怕各楼的高手弄出个什么超级病毒

Guace

我知道小东￠酷儿的QQ